险 。 例 如 Docker Socket 套 接 字 文 件 （/var/run/docker.sock）、宿主机的 procfs 文件等敏感文件。 程序漏洞导致的容器逃逸：参与到容器生态中的服务端、客户端程序自身存 在的漏洞都可能导致容器逃逸的风险，例如 CVE-2019-5736 漏洞。 2.3.3 拒绝服务攻击 由于容器与宿主机共享 CPU、内存、磁盘空间等硬件资源，且 Docker 管理而故意留的一些接口，导致内部服务的暴露，使得编排组件存在一个潜在的 攻击点。比如 Mysql 对外服务存在弱口令登录的问题，目标系统的其中一个节 点通过 NodePort 对外映射了 Mysql 服务端口，且经过尝试，通过弱口令可登 云原生安全威胁分析与能力建设白皮书 28 录。这种情况就属于是管理员的安全意识不足引起的服务对外暴露风险，相应的 攻击行为即服务对外暴露攻击。 2.4.3 业务 的数据进行分析，并进行下一步的攻击。 权限设计不合理导致的攻击：权限设计不合理可能导致水平越权、垂直越权 和数据越权等攻击行为。水平越权，由于服务端在接收到客户端请求数据后进行 操作时没有判断数据的所属对象，致使用户 A 可以访问到属于同一角色的用户 B 的数据。 垂直越权，由于服务端没有设置权限控制或权限控制存在缺陷，导致恶意用 户只要猜测到管理页面的 URL 地址或者某些用于标识用户角色的参数信息等，

Kubernetes架构 l 服务端组件，控制面：API Server、Scheduler、 Controller-Manager、ETCD l 工作负载节点，最核心就是监控Pod容器和节点本 身，也要关注 kubelet 和 kube-proxy l 业务程序，即部署在容器中的业务程序的监控，这 个其实是最重要的 随着 Kubernetes 越来越流行，几乎所有云厂商都提供 了托管服务，这就意味着，服务端组件的可用性保障交 的 sdk，截获请求之后通过 UDP 推送给兼容 statsd 协议的 agent（比如telegraf、datadog-agent），这些 agent 在内存里做指标计算聚 合，然后把结果数据推给服务端。因为是 UDP 协议，fire-and-forget，即使 agent 挂了，对业务也没啥影响 • prometheus sdk 作为另一种埋点方式，聚合计算逻辑是在 sdk 里完成，即在业务进程的内存里完成，对此介意 statsd 数据流向 • 推荐做法：如果是容器环境，Pod 内 sidecar 的方式部署 statsd；如果是物理机虚拟机环境，每个机器上部署一 个 statsd 的 agent，接收到数据之后统一推给服务端 Pod-001 业务 容器 agent Pod-002 业务 容器 agent 监控服 务端 VM-001 业务 进程 agent 监控服 务端 业务 进程

算、存储和网络进行超融 合，提供极其简单的底层 运维能力，进一步简化云 原生+资源层整体运维和 提升资源利用质量。 标准化能力-按需调度-Serverless 业务价值 架构 • 彻底消除传统服务端基础设施依赖，降低研发复杂性和运维难度 • 按实际调用量进行自动的容量扩缩 • 专注业务逻辑开发，无须关心基础设施 • 只需要将视频存入存储，接入极其简单，达到极致业务体验 • 按需加载资源，使用时调度，不使用时自动回收，达到极致

less化 Serverless最核心的理念是“按需”，云原生消息Serverless化主要是从两个维度落地按需的概念。一方面根据业务规模 自动化扩缩容实例规格、队列数等逻辑资源；另一方面，根据服务端负载自动化扩缩容计算、存储等物理资源。 2W TPS 10W TPS 根据业务流量自动升降配 .... 逻辑资源按需扩缩容 MQ集群 MQ集群 根据Load等Metrics做 出扩容决策 PV1 Broker1